Hukuk & Danışmanlık Hizmetleri
Yerel ve uluslararası alanda bilgili ve
tecrübeli ekibimizle hizmet sunmaktayız.

Danışma Hattı:
0850 303 11 36

Kişisel Verilerin Korunması Kurulunun Whatsapp Uygulaması Hakkındaki 03.09.2021 Tarih ve 2021/891 Sayılı İhlal Kararı

Ana sayfa Kişisel Verilerin Korunması Kurulunun Whatsapp Uygulaması Hakkındaki 03.09.2021 Tarih ve 2021/891 Sayılı İhlal Kararı

Kişisel Verileri Koruma Kurulunun 12.01.2021 tarihli ve 2021/28 sayılı Kararı ile Whatsapp’ın 04.01.2021 tarihli Hizmet Koşulları ve Gizlilik İlkesinde değişikliğe gitmesi hakkında soruşturma başlatmıştır.

KVKK’nun 09.02.2021 tarihli ve 2021/120 sayılı Kararı çerçevesinde, yurtdışına veri aktarımı, hizmetin açık rıza şartına bağlanması ve genel ilkelere uygunluk hususları başta olmak üzere WhatsApp hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 15’inci maddesinin (1) numaralı fıkrası kapsamında resen incelemeye karar vermiştir.

Kurul, WhatsApp Hizmet Koşullarının ve Gizlilik İlkesi metinlerinin incelenmesi neticesinde; temel olarak veri sorumlusu tarafından kullanıcılara sunulan Hizmet Koşullarının kullanıcı ile yapılan bir sözleşme olarak tanımlandığı, Gizlilik İlkesinin ise şeffaflığı sağlamaya yönelik bir metin olarak, hangi verilerin hangi amaçlarla işleneceğini göstermekle birlikte esasen Hizmet Koşullarının bir parçası olarak ifade edildiği ayrıca Hizmet Koşullarına onay verilmeden sözleşmenin yürürlüğe giremeyeceğinin belirtildiği görülmüştür. Kurul inceleme sonucunda aşağıdaki tespitlerde bulunmuştur:

  • “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartı başta olmak üzere diğer kişisel veri işleme şartlarına dayanılarak kişisel verilerinin işlendiğinin beyan edildiği ancak görünen işlem sözleşmeye onay verme olsa da asıl yapılan işlemin kişisel verilerin işlenmesine açık rıza alınması niteliğinde olduğu, bu bakımdan sözleşmenin içerisine derç edilerek hizmetin bir koşulu olarak dayatılması suretiyle alınan açık rızanın, “özgür iradeyle açıklanması” unsurunun zedelendiği,
  • Veri sorumlusunun Türkiye’de bulunan ilgili kişilerden elde ettiği kişisel veriler üzerinde, bu verileri elde ettikten sonra yapmış olduğu kaydetme, depolama, değiştirme, aktarma gibi her türlü işleme faaliyetinin, sunucuları Türkiye’de bulunmadığı sürece kişisel verilerin yurt dışına aktarımı anlamına geldiği, dolayısıyla söz konusu aktarımın, Kanunun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesine uygun olarak yapılmasının zorunluluk arz ettiği ancak veri sorumlusu tarafından aktarım faaliyetleri için hiçbir şekilde açık rızaya başvurulmadığının beyan edildiği, bununla birlikte veri sorumlusunca Kurulumuza bir taahhütname başvurusunda da bulunulmadığı dikkate alındığında, veri sorumlusu tarafından Kanunun 9 uncu maddesine uygun hareket edilmediği,
  • Veri sorumlusu tarafından, profilleme amacıyla çerezler aracılığıyla yapılacak kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı, bu kapsamda yürütülen kişisel veri işleme faaliyetinin de hukuka uygun olmadığı, anlaşıldığından Kanunun 12 nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almadığı tespit edilen veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 1.950.000 TL idari para cezası uygulanmasına,

Ayrıca veri sorumlusunun;

  • Uygulamaya konulmadığı belirtilen 04.01.2021 tarihli Hizmet Koşulları ve Gizlilik İlkesi metinlerinin, halihazırda kullanıcılara geçerli sürüm olarak sunulduğu anlaşıldığından, ilgili kişilerin doğru bilgilendirilmesi için söz konusu metinlerin üç ay içerisinde Kanuna uygun hale getirilmesi,
  • Gizlilik İlkesinin, aydınlatma metni yerine kullanıldığı ve geçerli bir aydınlatmanın unsurlarını taşımadığı anlaşıldığından, Kanunun 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun bir aydınlatma yapılmasına karar vermiştir.

Kararda açıkça vurgulandığı üzere verilerin yurtdışına aktarılması için öngörülen sistemlerden birisi olan “açık rıza”ya dayanma kavramının söz konusu olabilmesi için kullanıcının öncelikle konu hakkında bilgilendirilmesi gerekmektedir.

Ayrıca bilgilendirme sonrası kullanıcının seçme hakkını kullanabilmesi gerekmektedir. Whatsapp’ın 4.1.2021 tarihli değişikliği ile kullanıcıları yeterli şekilde aydınlatmadığı gibi söz konusu sözleşmenin kabulünün uygulamayı kullanmaya devam şartı olarak konulmasının açık rıza ilkesine aykırı olduğunu vurgulamıştır.

Son olarak Whatsapp’ın veri sorumlusuna söz konusu Hizmet Koşulları ve Gizlilik İlkesi’ni 3 ay içinde güncellemesi gerektiği belirtilmiştir.

Av. Muammer ÖZ